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La presente invention se situe dans le domaine de la securisation des 
appareils electroniques, et plus precisement dans celui de la protection de ces 
appareils contre des manipulations frauduleuses et des attaques a leur integrite. 

On connaTt principalement deux types d'attaque, a savoir les attaques de 
5 type logiciel d'une part et celles par ajout ou substitution de composants 
materiels d'autre part. 

Pour parer aux attaques logicielles, on connaTt des outils dits de haut 
niveau, c'est-a-dire operant au-dessus des couches du systeme Sexploitation 
(antivirus, pare-feu, etc.). 
10 Malheureusement, ces outiis meme performants, presentent une fragility 

importante dans le sens ou iis peuvent etre desactives ou contournes avant 
meme leur chargement en memoire. 

Un consortium nomme « Trusted Computing Group » (TCG) vise a palier 
cet inconvenient en fournissant des outils et des m<§thodes de protection des 
15 couches logicielles basses. 

TCG propose en particulier une methode de verification de Tauthenticite 
du BIOS (Basic Input Output System) d'un ordinateur personnel avant son 
lancement. 

Une telle m6thode utilise a cette fin un code de confiance CRTM (Core 
20 Root of Trust Measurement en anglais), ce code CRTM etant execute a la mise 
sous tension de I'ordinateur pour calculer une signature du BIOS. 

Ce code de confiance CRTM constitue ainsi la base de toute la chame de 
securite logicielle dans P6quipement, et doit done etre protege lui aussi contre 
les attaques. 

25 Afin d'assurer la protection de ce code CRTM, il est traditionnellement 

prevu d'implementer celui-ci dans un secteur specifique d'une memoire de type 
flash installee sur la carte mere de Tequipement. 

L'inconvenient d'une telie solution est que la modification de ce code de 
confiance CRTM, pour une mise a jour par exemple, est impossible sans 
30 intervention physique sur la carte m&re, comme le decrit le document IBM US 
2003/01 35727 publie le 1 7 juillet 2003. 

Ce document propose une premiere solution a ce probleme consistant a 
implementer le code de confiance (CRTM) dans une carte accessoire a la carte 
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mere (feature card en anglais), cette carte accessoire comportant son propre 
BIOS. Les mises a jour peuvent alors s'effectuer simplement par remplacement 
physique de cette carte accessoire. 

Si cette solution est acceptable dans le cadre des specifications 6laborees 
5 par TCG, on comprend qu'elle ne Test plus du tout lorsque Ton veut etendre la 
protection des boot loader et des BIOS au second type d'attaques, les attaques 
materielles, du fait d'un utilisateur ou d'un tiers (console de jeux, code IMEI et 
SIM lock des GSM notamment). 

Cette solution presente en effet un inconvenient majeur pour ce : cas de 
10 protection etendue, puisqu'il suffit de retirer cette carte accessoire pour 
desactiver Pensemble des fonctions de securite de Pequipement 

La demanderesse s'est attachee a resoudre le probleme precite en le 
g6neralisant a tout appareil electronique, a savoir rendre possible la 
modification, dans le but de mise a jour, du code de demarrage (boot loader) 
15 dans la rnemoire flash sans intervention physique, tout en, prot6geant ce code 
des manipulations frauduleuses (remplacement, modification). 

La demanderesse propose une solution au probleme precedent basee sur 
le controle de I'acces en ecriture a la rnemoire flash comportant le code de 
demarrage. 

20 D'une fa9on plus generate, ce probleme consiste a controler I'acces h une 

rnemoire ou un peripherique d'un processeur, que celui ci soit embarque ou non 
dans le processeur. 

A cet effet, Tinvention consiste a utiliser un programme informatique 
constituant un point unique d'acces au peripherique, preferentiellement situe 
25 dans une zone sure et controlee du processeur, et controlant en cooperation 
avec une unite materielle, le signal electrique d'acces a ce peripherique. 

Plus precisement, et selon un premier aspect, Pinvention vise une unite 
materielle de controle d'acces a un peripherique. 
Cette unite materielle comporte : 
30 - des moyens d'obtention d'un code d'autorisation d'acces au 

peripherique ; 

- des moyens de comparaison de ce code d'autorisation d'acces avec une 
valeur de reference predeterminee ; et 
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- des moyens, dits de validation, adaptes a generer un signal electrique 
de validation d'un signal electrique d'acces a ce. peripherique en fonction du 
resultat de cette comparaison. 

L'invention permet ainsi de controler I'acces au peripherique d'un 
5 processeur en validant au plus bas niveau, et de fagon materielle, le signal 
electrique d'acces a ce peripherique. Ce peripherique peut notamment etre 
choisi parmi un ecran, un clavier, une memoire, un controleur d'une interface de 
communication, une unite de gestion memoire (MMU) ou une unite de protection 
de memoire (MPU). 

10 Dans la suite de ce document, nous appellerons "peripherique" tout type 

de composant electronique (ecran, clavier, memoire, interface de 
communication, interface de carte a puce, MMU, MPU, ...), que ceux-ci soient 
discrets oD "integres" dans des FPGA 6u ASIC. 

De meme, nous appellerons "signal electrique d'acces" tout signal 

15 electrique devant etre active pour la selection (signal de type « ChipSelect », 
CS) du peripherique ou I'ecriture (signal de type "WRITE-ENABLE", WE) sur ce 
peripherique. 

Conformement a la presente invention, un acces au peripherique ainsi 
protege n'est possible que sur presentation a Punite materielle de controle 
20 d'acces audit peripherique d'un code d'autorisation d'acces compatible avec.la 
valeur de reference predeterminee connue de cette unite materielle. 

L'invention permet ainsi notamment la protection d'une memoire dite 
securisee, du type par exemple de celle contenue dans un telephone mobile 
conforme & la norme GSM pour la memorisation des conditions commerciales 
25 souscrites par abonnement avec un operateur (SIM Lock). 

La substitution frauduleuse de ces regies SIM-Lock ne devient possible 
que sur presentation d'un code d'autorisation d'acces valide a Tunite materielle 
de controle de Tacces a cette memoire. 

L'invention permet aussi de mettre a jour le BIOS ou le systdme 
30 d'exploitation d'un appareil, a distance. On pourra done aisement mettre a jour 
les telephones portables, et ce, directement avec la liaison sans fil GSM, sans 
que le client ne se deplace vers un centre de mise a jour. . 
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L'invention peut ainsi etre utilisee pour empecher toute modification 
frauduleuse du BIOS d'un PC, ce qui augmente grandement la securite de ce 
PC, notamment quand le BIOS contient des mecanismes de securite de plus 
haut niveau. 

5 Preferentiellement, I'unite materielle de contrdle d'acces selon l'invention 

comporte des moyens de declenchement d'une interruption non masquable 
d'aiarme, lorsque le code d'autorisation d'acces est different de la valeur de 
reference predeterminee. 

Cette caracteristique permet ainsi, par traitement de cette interruption 
10 d'aiarme, d'empecher toute attaque dite « en force brute », a savoir des attaques 
consistant a presenter des code d'autorisation d'acces, jusqu'a la presentation 
d'un code fortuitement identique a la valeur de reference predeterminee. 

Dans une premiere variante de realisation, la valeur de reference 
predeterminee est une constante. 
15 Cette variante est particulierement simple a mettre en oeuvre. Elle permet 

deja de se premunir contre toute attaque venant d'un tiers qui ne connaTtrait pas 
la constante precitee. 

Dans une deuxieme variante de realisation, I'unite materielle de controle 
d'acces selon l'invention comporte des moyens de generation de la valeur de 
20 reference precitee selon une loi predeterminee. 

Cette caracteristique permet avantageusement de renforcer le controle 
d'acces au peripherique car seul un pirate connaissant la loi predeterminee 
pourrait etre en mesure de presenter un code d'autorisation d'acces valide a 
I\unit6 materielle de controle d'acces. 
25 Dans un mode prefere de cette deuxieme variante de realisation, la valeur 

de reference predetermine est un compteur initialise a la mise sous tension de 
I'unite materielle, et la loi predeterminee consiste a incr6menter ce compteur a 
chaque obtention du code d'autorisation d'acces. 

La mise en oeuvre de cette loi predeterminee peut notamment etre 
30 reafisee par un compteur associe a un automate d'etats finis, ce qui evite 
i'utilisation plus on^reuse d'un (co-)processeur, et limite le cout de fabrication de 
I'unite materielle dans son ensemble. 
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Dans un mode de realisation prefere, I'unite materielie conforme a 
('invention comporte : 

- des moyens de decienchement d'une interruption non masquable de 
controle et ; 

5 - des moyens d'obtention du code d'autorisation d'acces (Code-AA) 

precite consecutivement a ce decienchement. 

Cette caracteristique permet de renforcer le controle d'acces au 
peripherique car elle permet de s'assurer que le code d'autorisation d'acces est 
re$u de fa9on certaine en provenance d'un organe de confiance constitue par la 
10 routine d'interruption de controle. 

Dans la premiere variante de realisation precitee, la routine d'interruption 
de controle peut ainsi autoriser I'accds au peripherique en envoyant simplement 
la constante, a i'unite materielie de controle. 

Selon une autre caracteristique avantageuse, les moyens de validation de 
15 I'unit6 materielie de controle d'acces au peripherique comportent des moyens de 
combinaison logique adaptes h : 

- recevoir un signal electrique de demande d'acces a ce peripherique ; 

- recevoir le signal de validation; et 

- valider le signal electrique d'acces en fonction d'un etat du signal 
20 electrique de demande d'acces, d'un etat du signal de validation, et d'une 

logique representee dans une table de v6rit6. 

Selon cette caracteristique, on valide ainsi I'acc6s au peripherique lorsque 
deux conditions sont reunies, a savoir d'une part la presence d'une demande 
d'accds au peripherique par un composant tiers, par exemple un processeur, et 
25 d'autre part lorsque le resultat des comparaisons precitees est representatif de 
Pobtention d'un code d'autorisation d'acc&s valide par I'unite materielie du 
controle. 

Pr6ferentiellement, le. signal d'acces r^sulte de la combinaison "ET 
logique" entre le signal de demande d'acces et le signal de validation. Ce moyen 
30 de realisation est particulierement aise a mettre en oeuvre. 

Dans un mode prefere de realisation, I'unite materielie de controle d'acces 
selon I'invention, comporte des moyens de lecture d'un etat du signal electrique 
de demande d'acces, et des moyens de decienchement d'une interruption non 
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masquable d'alarme en fonction de cet etat et de I'etat du signal electrique de 
validation d'acces. 

Cette caracteristique permet avantageusement de declencher une 
interruption non masquable d'alarme, lorsque I'etat du signal etectrique de 
demande d'acces est representatif d'une demande d'acces au peripherique, 
sans qu'un code d'autorisation d'acces n'ait ete presente a I'unite materielle de 
controle d'acces. 

Dans un mode prefere de realisation, I'unite materielle de controle d'acces 
selon ('invention comporte des moyens d'inhibition du signal de validation, cette 
inhibition etant preferentiellement effectuee consecutivement a un ou plusieurs 
acces au peripherique. 

Cette caracteristique permet avantageusement de renforcer le controle 
d'acces au peripherique, puisque celui-ci doit s'exercer regulierement, voire 
meme ayant chaque acces au peripherique. 

Dans un autre mode de realisation, I'inhibition du signal de validation est 
effectuee apres un delai predetermine compte a partir de la generation du signal 
electrique de validation d'acces, oD a partir de I'obtention du code d'acces. 

Cette caracteristique permet avantageusement d'autoriser I'acces au 
peripherique sans controle durant ce delai, ce qui ameliore les performances 
globales du systeme. Cette caracteristique est particulierement interessante 
lorsque le volume de donnees echangees avec ce peripherique est important 
comme dans le cas d'un ecran. 

Correlativement, I'invention vise un precede de controle d'acces a un 
peripherique, ce procede comportant les etapes suivantes : 

- obtention d'un code d'autorisation d'acces au peripherique ; 

- comparaison du code d'autorisation d'acces avec une valeur de 
reference predeterminee ; 

- generation d'un signal electrique de validation d'un signal d'acces au 
peripherique en fonction du resultat de cette etape de comparaison. 

Preferentiellement, le procede de controle d'acces selon I'invention 
comporte en outre : 

- une etape de declenchement d'une interruption non masquable de 
controle; et 
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- une etape d'obtention du code d'acces consecutivement audit 
declenchement. 

Comme decrit precedemment, cette caracteristique permet de renforcer le 
controle d'acces au peripherique car eile permet de s'assurer que le code 
5 d'autorisation d'acces est recu de facon certaine en provenance d'un organe de 
confiance constitue par la routine d'interruption de controle. 

Preferentiellement, I'etape de declenchement d'une interruption non 
masquable de contr6le est effectuee consecutivement a une etape d'obtention 
d'un code de declenchement ; 
10 Cette caracteristique permet encore de renforcer le controle d 'acces au 

peripherique car elie sollicitation de I'unite materielle de controle d'acces par un 
tiers qui ne connaTtrait pas le code de declenchement aboutirait a un 
declenchement d'alarme. 

Les avantages et caracteristiques particuliers de ce procede de contrdle 
15 d'acces etant les memes que ceux decrits precedemment en reference a I'unite 
materielle de controle, ils ne seront pas rappeles ici. Ce procede consiste 
essentiellement a verifier la validite d'un ou plusieurs code d'autorisation d'acces 
en le comparant a des valeurs de reference predetermines (constantes ou 
generees selon une loi), et a valider un signal electrique d'acces au peripherique 
20 en fonction de cette comparaison. 

Selon un autre aspect, I'invention concerne un processeur comportant une 
unite materielle de controle d'acces telle que decrite brievement ci-dessus. 

Dans un mode prefere de realisation, ce processeur selon I'invention 
comporte en outre des moyens d'envoi du code d'autorisation d'acces a I'unite 
25 materielle de controle d'acces. 

Dans ce mode prefere de realisation de I'invention, I'unite materielle de 
controle d'acces decrite precedemment est embarquee au sein d'un processeur, 
ce processeur comportant des moyens d'envoi a I'unite materielle de controle, du 
code d'autorisation d'acces a un peripherique donne. 
30 Ce mode prefere de realisation de I'invention renforce considerablement 

le controle de I'acces a ce peripherique, car il devient alors impossible de 
contourner physiquement, ou autrement dit de shunter, I'unite materielle de 
controle d'acces. 
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Preferentiellernent, le processeur selon Pinvention compdrte le 
peripherique auquel ii protege Faeces. 

Ce peripherique peut notamment etre une unite de gestion de memoire. 

LMnvention peut proteger ainsi Pacces a Punite de gestion de la memoire 
5 (MMU). Ceci permet de creer deux environnements systemes rigoureusement 
etanches sur un meme processeur. Si de plus, on assure un espace d'echanges 
de donnees controlees entre ces deux environnements, Phomme du metier 
comprendra que Ton peut aisement construire des appareils dont certaines 
fonctions (systeme d'exploitation ou applications sensibles de type paiement, 
10 authentification, protection des droits des auteurs et de la copie) sont isolees des 
applications plus ouvertes et done plus sensibles aux attaques (Browser Internet, 
chargement de jeux, de video, email etc). 

Le peripherique contenu dans le processeur selon Pinvention peut 
egalement etre un controleur d'ecriture dans la memoire d'amorgage du 
15 processeur. 

Ce mode prefere de realisation permet ainsi de securiser la memoire 
d'amorgage du processeur, cette protection rendant impossible la modification 
frauduleuse des donnees contenues dans cette memoire, zone dont la securite 
est tres critique en ce qu'elle heberge souvent des appels a des procedures de 
20 securtsation de plus haut niveau. 

Correlativement, Pinvention concerne un procede de gestion d'acces a un 
peripherique. Ce procede comporte une etape de mise en oeuvre d'une routine 
de controle associee a une interruption non masquable de controle, ladite routine 
comportant une etape d'envoi d'un code d'autorisation d'acces a une unit6 
25 materielle de controle d'acces telle que decrite brievement ci-dessus. 

Dans une premiere variante de realisation, le code de controle d'acces est 
une constante, lue a partir d'une memoire protegee. 

Dans une deuxieme variante de realisation, le procede de gestion d'acc&s 
comporte en outre une etape de generation d'un code d'autorisation d'acces 
30 selon une loi predetermin^e. 

L'homme du metier comprendra aisement qu'il est necessaire, dans cette 
premidre variante de realisation, de masquer toutes les interruptions, sans quoi 
un acces illicite au peripherique pourrait etre effectue par une interruption mal 
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intentionnee dans I'intervalle de temps compris entre la lecture de la constante 
dans la memoire protegee et le declenchement de la routine ^interruption non 
masquable de controle. 

Les avantages et caracteristiques particuliers de ce procede de gestion 
5 d'acces etant les memes que ceux decrits brievement ci-dessus en reference au 
processeur selon invention, ils ne sont pas rappeles ici. Ce procede consiste 
essentiellement a fournir, fen provenance d'un organe de confiance (k savoir le 
processeur mettant en oeuvre la routine d'interruption de controle) des codes 
d'autorisation d'acces, ces codes etant compares par I'unite materielle de 
10 controle avec des valeurs de reference predeterminees (constantes ou gener^es 
selon une loi) pour autoriser ou non I'acces au peripherique. 

' Llnvention vise aussi un programme informatique comportant une 
instruction d'acces & un peripherique et une instruction d'envoi d'un code de 
declenchement a une unite materielle de controle d'acces a ce peripherique telle 
is que decrite brievement ci-dessus, prealablement a ('execution de cette 
instruction d'acces. 

Preferentiellement, ce programme informatique comporte en outre des 
moyens de generation du code de declenchement selon la loi pn§determinee de 
generation du code d'autorisation d'acces. 
20 Ce programme informatique constitue un point unique d'acces au 

peripherique, preferentiellement situe dans une zone sure et controlee du 
processeur. Ce programme controle, en cooperation avec I'unite materielle, le 
signal electrique d'acces a ce peripherique. 

L'invention vise aussi un processeur adapte a mettre en ceuvre un 
25 procede de controle d'acces, un procede de gestion d'acces, et/ou un 
programme informatique tels que decrits brievement ci-dessus. 

D'autres aspects et avantages de la presente invention apparaitront plus 
ciairement a la lecture du mode particulier de realisation qui va suivre, cette 
description etant donnee uniquenient k titre d'exemple non limitatif et faite en 
30 reference aux dessins annexes, sur lesquels : 

- la figure 1 represente un processeur conforme a l'invention dans un 
premier mode de realisation, 



v 
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- la figure 2 represente un processeur conforme a Tinvention dans un 
deuxieme mode de realisation, 

- la figure 3 represente une unite materielle de controle d'acces conforme 
a Tinvention dans un mode pref6re de realisation, 

5 - les figures 4a a 4d represented sous forme d'automates, les principales 

etapes de precedes de controle d'acces conformes k Tinvention, 

- la figure 5 represente sous forme d'organigramme, les principales 
etapes d'une routine d'interruption de controle conforme a Tinvention dans .un 
mode pref6r<§ de realisation ; et 

io - la figure 6 represente, sous forme d'organigramme, les principales 

Stapes d'un programme accedant a un peripherique protege, conformement a la 
presente invention. 

L'exemple de realisation de Tinvention decrit ici conceme plus 
particulierement la protection de Tacces a une memoire d'amorgage contenue 
15 dans un processeur. 

La figure 1 represente un processeur 110 conforme a Tinvention dans un 
mode prefere de realisation. 

Le processeur 110 comporte une memoire d'amorgage 120 (en anglais 
BOOT-ROM) et une memoire volatile RAM protegee. Cette memoire d'amorgage 
20 120 comporte une table de vecteurs d'interruption VECT, deux routines 
d'interruption, respectivement de controle IRT1 et d'alarme 1RT2, et un 
programme informatique PROG. 

Ce programme informatique PROG est un programme de controle d'un 
peripherique P interne au processeur, un tel programme etant habituellement 
25 connu sous le nom de pilote (en anglais : « driver »). 

Dans le mode prefere de realisation decrit ici, le p6riph§rique P interne au 
processeur est un controleur d'ecriture pour la memoire d'amorgage 120 
precise. 

Le processeur 110 comporte une unite materielle 20 de controle d'acc&s 
30 au peripherique P, conforme a la presente invention. 

Cette unite materielle de controle d'accfes 20 comporte des moyens 
d'obtention d'un code Code-DD de declenchement et d'un code Code-AA 
d'autorisation d'acces au peripherique P. 
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Dans le mode de realisation decrit ici, le code de declenchement Code- 
DD et le code d'autorisation d'acc&s Code-AA sont obtenus dans un meme 
registre 21. 

Dans !e mode prefere de realisation decrit ici : 
5 - le code Code-AA d'autorisation d'acc&s est ecrit dans le registre 21 par 

la routine d'interruption de controle IRT1 ; et 

- et le code de declenchement Code-DD est ecrit danis le registre 21 par le 
pilote PROG du peripherique P. 

En effet, conformement a ('invention, avant chaque instruction (WRITE, 
10 READ,.,.) d'acces au peripherique P, le programme informatique PROG 6crit un 
code de declenchement Code-DD dans le registre 21 de I'unite materielle 20. 

Dans le mode de realisation decrit ici, le code de declenchement Code- 
DD et le code d'autorisation d'acces Code-AA sont deux valeurs successives 
d'une meme variable calculees selon la loi decrementation predeterminee. 
15 Cette variable est memorisee dans une zone protegee de ia volatile RAM 

du processeur. Cette memoire n'est accessible qu'au programme informatique 
PROG et a la routine d'interruption de controle. IRT1 . 

Uunite materielle de controle d'acces 20 comporte egalement des moyens 
24 adaptes a generer, selon une loi predeterminee, une valeur de reference 
20 Code-UMCA lorsqu'un code d'autorisation Code-AA ou un code de 
declenchement Code-DD est ecrit dans le registre 21 . 

Dans le mode prefere de realisation decrit ici, cette loi consiste a 
incrementer le compteur Code-UMCA, celui-ci etant initialise a la mise sous 
tension du processeur 110. 
25 L'unite materielle de controle d'acces 20 comporte egalement des moyens 

22 de comparaison du code d'autorisation d'acces Code-AA (et du code de 
declenchement Code-DD) obtenu dans le registre 21 avec la valeur de reference 
predeterminee Code-UMCA, calculee par les moyens 24 de generation de cette 
valeur. 

30 Dans le mode prefere de realisation decrit ici, ces moyens de 

comparaison 22 sont constitues par une logique cablee. 

Quoiqu'il en soit, ces moyens de comparaison 22 sont adaptes a envoyer 
un premier signal a une unite 26 de declenchement d'une interruption non 
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masquable, lorsque le code de declenchement Code-DD est compare egal a la 
vaieur courante du code de reference Code-UMCA. Ceci sera decrit 
ulterieurement en reference a la figure 4a. 

Sur reception de ce premier signal, les moyens 26 de declenchement 
5 d'une interruption non masquable generent un signal ^interruption non 
masquable NMI1. 

Sur reception de ce signal d'interruption non masquable NMll, le 
processeur execute, grace a la table de vecteur d'interruption VECT, la routine 
d'interruption de controle IRT1. 

io Cette routine d'interruption de controle IRT1 met en ceuvre une fonction 

informatique Gen-Code adaptee a caiculer une nouvelle vaieur du code 
d'autorisation d'acces Code-AA selon une loi predeterminee, a memoriser cette 
nouvelle vaieur dans la memoire protegee, et a ecrire cette nouvelle vaieur 
Code-AA dans le registre 21 de I'unite materielle de controle d'acces 20. 

15 Cette loi predeterminee est identique a celle mise en ceuvre par les 

moyens 24 de g<§n<§ration de la vaieur de reference Code-UMCA. Ainsi, dans le 
mode de realisation prefere decrit ici, cette loi est une loi decrementation et ie 
code d'autorisation d'acces Code-AA est egal a la vaieur du code de 
declenchement Code-DD plus un. 

20 Lorsque les moyens 21 d'obtention du code d'autorisation d'acces Code- 

AA regoivent ce code d'autorisation Code-AA en provenance de la routine 
d'interruption I RT1 de controle, les moyens 24 de generation d'une vaieur de 
reference Code-UMCA generent une nouvelle vaieur de reference selon ia loi 
predeterminee ^incrementation. 

25 Ces deux nouvelles valeurs sont alors comparees par les moyens 22 de 

comparaison decrits precedemment, 

Conformement h I'invention, les moyens 22 de comparaison sont adaptes 
k positionner une vaieur representative du resultat de la comparaison de ces 
deux nouyelleis valeurs dans une bascule 23 de I'unite materielle de controle 

30 d'acces 20. 

Dans I'exemple de realisation decrit ici, nous supposerons que la logique 
cablee 22 positionne la vaieur 1 dans la bascule 23 lorsque le nouveau code 
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d'autorisation d'acces Code-AA et la nouvelle valour de reference pred6termin6e 
Code-UMCA sont egaux. 

Ainsi, dans ce mode prefere de realisation decrit ici, le contenu de la 
bascule 23 est positionne a 1 lorsque les codes de declenchement Code-DD et 
5 d'autorisation Code-AA regus successivement en provenance du piiote PROG et 
de la routine d'interruption de controle IRT1 sont egaux aux deux valeurs de 
reference code— UMCA predetermines generees par les moyens 24 sur 
reception des codes. 

Conformement a ce mode prefere de realisation, lorsque la bascule 23 est 
10 positionnee a 1, celle-ci genSre tin signal electrique de validation SIG-VAL a 
destination de moyens de combinaison logique 25 de I'unite materielle de 
controle d'acces 20. 

Ainsi dans ce mode prefere de realisation , le signal de validation SIG- 
VAL est genere, lorsque les deux conditions precitees sont reunies. 
15 Avant de transmettre le code de declenchement Code-DD a I'unite 

materielle de controle d'acces 20, le piiote PROG genere une nouvelle valeur 
selon la loi predeterminee, c'est-a-dire dans le mode decrit ici, I'incremente, et 
memorise cette nouvelle valeur dans la memoire volatile RAM protegee. 

Le piiote du peripherique P execute ensuite une instruction d'acces au 
20 peripherique P. 

De fagon connue de Phornme du metier, cette instruction genere, en sortie 
d'un decodeur d'adresse 27, un signal electrique d'accds, de type Qhip-Select 
CS a destination du peripherique P. 

Conformement a la presente invention, ce signal d'acces n'est pas 
25 directement transmis au peripherique P, mais vient en entree des moyens de 
combinaison logique 25 precites, 

Dans la suite de.ce document, ce signal sera denomme signal electrique 
de demande d'acces CS-RQ. 

Les moyens de combinaison logique 25 qui regoivent en entree d'une part 
30 le signal electrique CS-RQ de demande d'acces au peripherique P et, d'autre 
part, le signal de validation SIG-VAL comportent 6galement une table de verite 
adaptee, de fagon connue, a generer un signal d'acces de type « chip select » 
CS, a destination du peripherique P. 
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Cette table de verite 25 permet en d'autres termes la validation du signal 
electrique d'acces au peripherique P, au sens de la presente invention. 

Dans le mode prefere de realisation decrit ici, le signal d'acces CS en 
sortie des moyens 25 de combinaison logique est fourni en entree de la bascule 
5 23. 

Dans ce mode de realisation, lorsqu'un acces au peripherique P est 
realise, c'est-a-dire lorsque I'etat du signal d'acces CS est haut, la vaieur de la 
bascule 23 est remise a 0. 

Ceci a pour effet d'inhiber le signal de validation SIG-VAL en sortie de 
io cette meme bascule 23 et done d'invalider tout acces au peripherique P. 

Dans un autre mode de realisation, le signal de validation SIG-VAL est 
inhibe non pas a chaque acces au peripherique P, mais de facon cyclique, par 
exemple tous les cinq acc&s. 

Dans un autre mode de realisation, prefere, le signal d'acces CS n'est pas 
reboucle sur la bascule 23, celle-ci etant adaptee a inhiber automatiquement le 
signal de validation SIG-VAL apres un delai predetermine compte a partir de la 
generation de ce meme signal, ou a partir de I'obtention du code de 
declenchement Code~DD. 

Dans le mode prefere de realisation decrit ici, les moyens de comparaison 
22 sont adaptes a. envoyer un deuxieme signal a I'unite 26 de declenchement 
d'une interruption non masquable lorsqu'elle detecte, par comparaison, qu'un 
code obtenu dans le registre 21 est different de la vaieur de reference 
predeterminee Code-UMCA generee sur reception de ce code. 

Sur reception de ce deuxieme signal, les moyens 26 de declenchement 
d'une interruption non masquable envoient un deuxieme signal d'interruption 
NMI2 a la memoire d'amoreage 1 20. 

Ainsi, si un programme hostile ecrit un code aleatoire dans le registre 21, 
les moyens de comparaison 22 declencheront une interruption non masquable 
NMI2. 

Sur reception de ce deuxieme signal d'interruption, le processeur execute 
la routine d'interruption d'alarme IRT2 pour le traitement d'acces frauduleux au 
peripherique P. 
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La figure 2 represente un autre processeur 210 conforme a la presente 
invention dans un autre mode de realisation. 

La seule difference entre ce processeur 210 et le processeur 110 decrit 
precedemment en reference a la figure 1, est que ie processeur 210 est utilise 
5 pour controler Paccfes & un peripherique P externe. 

Toutes les caracteristiques autres §tant identiques, il ne sera pas decrit 
plus en avant ici. 

La figure 3 repr6sente une unite materielle de controle d'acc&s 20, sous 
forme d'un composant exteme k un processeur 10. 
10 " Dans ce mode de realisation de I'invention, le processeur 10 cooperant 

avec Punite materielle de controle d'acces 20, comporte une m6moire 
d'amorgage 1 20 identique a celle decrite precedemment en reference au 
processeur 1 10 de la figure 1. 

L'unite materielle de controle d'acces 20 de cette figure est identique a 
15 celle decrite precedemment en reference a la figure 1 et ne sera pas detaiilee 
ci-apres. 

La figure 4a represente sous forme d'automate & etats finis les 
principales 6tapes d'un procede de controle d'acces conforme & I'invention dans 
un mode prefere de realisation. 
20 Sur cette figure, les « bulles » representent des etats, les f leches des 

transitions, et les rectangles des conditions necessaires et suffisantes a la 
realisation des transitions. 

Dans la suite de la description, on emploiera indifferemment les 
terminologies « etape » ou « etat » connues de Phomme du metier des 
25 programmes informatiques. 

Cet automate comporte un premier etat E10 d'initialisation, duquel on sort 
(transition E15) lorsque la valeur de reference predeterminee Code-UMCA est 
initialisee avec une valeur initiate, par exemple zero, puis memorisee dans la 
memoire volatile RAM. 
.30 On entre aiors dans un 6tat tfattente E20. 

Lorsque dans cet etat d'attente E20 Punite materielle de controle d'acces 
regoit un code de declenchement Code-DD (transition E25), on entre dans un 
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6\aX E30 de comparaison de ce code de declenchement Code-DD avec la valeur 
de reference predeterminee Code-UMCA. 

En revanche, lorsque dans cet etat d'attente E20, on detecte un signal 
electrique de demande d'acces CS-RQ au peripherique P (transition E22), on 
entre dans un etat E100 de declenchement d'une interruption non masquable 
d'alarme NMI2. 

On quitte automatiquement cet etat E1 00 de declenchement d'une 
interruption non masquable d'alarme NMI2, pour entrer dans un etat E110 de 
gestion d'alarme. 

Dans un mode de realisation pr6f«§re, I'etat E110 de gestion d'alarme 
entraTne I'execution d'un code terminal, (generation d'une condition de RESET). 
Dans d'autres modes de realisations, diverses reactions sont envisageables en 
fonction de ('application. Ces modes de realisation ne sont pas Pobjet de ce 
brevet et ne seront pas detailles icL 

Une fois cette procedure de gestion d'alarme terminee, on peut effacer 
I'alarme et revenir dans I'etat E20 d'attente decrit precedemment 

Lorsque depuis i'etat E30 de comparaison, on determine que le code de 
declenchement Code-DD est different de la valeur de reference predetermine 
Code-UMCA (transition E85), on entre dans I'etat E100 de declenchement d'une 
interruption d'alarme non masquable NMI2 decrit precedemment. 

En revanche, lorsque depuis I'etat E30 de comparaison, on determine que 
la valeur du code de declenchement Code-DD est egale k la valeur de reference 
predeterminee Code-UMCA (transition E31), on entre dans un etat E32 de 
generation d'une nouvelle valeur de reference predeterminee Code-UMCA selon 
la loi decrementation predeterminee. 

Cet etat E32 de generation d'une nouvelle valeur de reference Code- 
UMCA, est suivi d'un etat E34 de declenchement d'une interruption non 
masquable de controle NMI1 . 

Une fois cette interruption non masquable de controle NMI1 declenchee, 
on entre dans un etat E36 d'attente d'un code d'autorisation d'acces Code-AA. 

Si dans cet etat E36 d'attente d'un code d'autorisation d'acces code AA, 
on detecte un signal electrique de demande d'acces CS-RQ (transition E90) , on 
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entre dans I'etat E100 de declenchement d'une interruption d'alarme non 
masquable NMI2. 

En revanche, lorsque dans I'etat E36 d'attente, on obtient un code 
d'autorisation d'acces Code-AA (transition E37) , on entre dans un etat E38 de 
5 comparaison de ce code d'autorisation d'acces Code-AA avec une nouvelle 
valeur de reference courante Code-UMCA. 

Si au cours de cette etat E38 de comparaison on determine que le code 
d'autorisation d'acces Code-AA est different de la valeur de reference Code- 
UMCA (transition E95), on entre dans I'etat E100 de declenchement d'une 
10 interruption non masquable d'alarme NMI2. 

En revanche, si ces deux valeurs sont egales (transition E39), on sort de 
I'etat E38 de comparaison pour entrer dans un etat E40 de generation d'une 
nouvelle valeur de reference Code-UMCA. 

On sort automatiquement de cet etat E40 de generation pour entrer dans 
un etat E50 de generation d'un signal electrique de validation SIG-VAL du signal 
d'acces au peripherique P. • . 

Ensuite, et automatiquement, on quitte cet etat E50 de generation du 
signal electrique de validation SIG-VAL pour entrer dans un etat E60 dans lequel 
on attend que I'acces au peripherique P ait effectivement lieu. 

Lorsque dans cet etat E60 d'attente on detecte que I'acces a 
effectivement eu lieu (transition E65), on entre dans un etat E70 dans lequel on 
inhibe le signal de validation SIG-VAL. 

On sort ensuite automatiquement de cet etat E70 d'inhibition pour 
retoumer a I'etat d'attente E20 decrit precedemment. 

Dans un autre mode de realisation, lorsque dans I'etat E60 d'attente on 
detecte I'obtention d'un code dans le registre 21 (transition E67), on entre dans 
I'etat E100 de declenchement d'une interruption non masquable d'alarme IMMI2, 
ce code d'autorisation d'acces ayant necessairement ete envoye a I'unite 
materielle de controle d'acces par un tiers mal intentionne. Ce mode de 
30 realisation permet de .renforcer la securite du systeme en detectant des acces 
frauduleux au peripherique apres la validation de I'acces (etat E60). 

La figure 4b represents un diagramme d'etat d'un procede de controle 
d'acces conforme a I'invention dans un deuxieme mode de realisation. 
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30 



Ce mode de realisation de I'invention, est simplifie dans le sens, ou il ne 
comporte pas d'etape E25 de reception d'un code de declenchement Code-DD 
Bien entendu toute etape (E30, E31, E32, £85) de traitement de ce code de 
declenchement Code-DD est supprimee. 
s L'etape E25 est rernplacee par une etape E26 de declenchement, celui-ci 

pouvant se realiser par tout moyen connu de I'homme du metier susceptible de 
generer une interruption. 

L'etape E26 de declenchement est suivie automatiquement par l'etape 
E34 de generation d'une interruption non masquable NMI1 de contrdle decrite en 
10 reference a la figure 4a. 

Dans ce mode de realisation, le code d'autorisation Code-AA etant une 
constante, l'etape E40 de generation d'une valeur de reference Code-UMCA est 
supprimee. 

La routine d'interruption de controle IRT1 presente dans le registre 21 la 
is valeur memorisee par le programme informatique PROG dans la memoire 
protegee. 

Nous alions maintenant decrire en reference a la figure 4c un troisieme 
mode de realisation du precede de controle d'acces conforme a I'invention. 

Dans ce mode de realisation, on ne verifie pas, aupres du processeur 
20 que le code d'autorisation d'acces Code-UMCA obtenu en provenance du 
programme informatique PROG (transition E25) est un code certifie par le 
processeur. 

Ainsi, il n'est pas genere d'interruption non masquable de controle NMI1, 
I'acces au peripherique etant automatiquement valide lorsque le code 
a d'autorisation d'acces Code-AA est identique a la valeur de reference 
predetermine Code-UMCA (transition E31). 

L'execution de ce precede simplifie est done plus rapide, le cycle de 
contrdle etant supprime. 

Prefertentiellement, ce troisieme mode de realisation ne comporte pas non 
plus de generation d'une interruption non masquable d'alarme (E100) en cas 
d'attaque frauduleuse, mais entrame un retour dans I'etat d'attente E20. 

Ainsi, et plus precisement, ce troisieme mode de realisation est identique 
au premier decrit en reference a la figure 4a, a la difference pres que : 
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- elle ne comporte pas d'etat E100 de declenchement d'une interruption 
non masquable d'alarme NMI2, et lorsque dans I'etat E30 de comparison, on 
determine que le code d'autorisation d'acces Code-AA est different de la valeur 
de reference predeterminee Code-UMCA, on retourne a I'etat d'attente E20 ; 

- les autres transitions (E22. E90 et E67) transitions decrites 
precedemment en reference a la figure 4a vers cet etat E100 de declenchement 
d'une interruption non masquable d'alarme sont supprimees ; 

- elle ne comporte pas d'etat E34 de declenchement d'une interruption 
non masquable de controle NMI1, I'etat E32 de generation d'une valeur de 
reference Code-UMCA etant autorhatiquement suivi par I'etat E50 de validation 
d'acces. 

L'invention concerne egalement un quatrieme mode de realisation du 
precede de contrdle d'acces conforme a ('invention, identique au troisieme mode 
de realisation decrit ci-dessus en reference a la figure 4c, a la seule difference 
pres que I'on entre directement dans I'etat E50 de validation du signal d'acces 
SIG-VAL lorsqu'au cours de I'etat E30 de comparison du code d'autorisation 
d'acces Code-AA avec la valeur de reference Code-UMCA, on determine que 
ces deux valeurs sont egales (transition E31). Ce mode de realisation est 
represente par le diagramme d'etats finis de la figure 4d. 

La figure 5 represente les principals etapes E500 a E520 d'une routine 
d'interruption non masquable de controle IRT1 mise en oeuvre par un processeur 
conforme a l'invention dans un mode prefere de realisation. 

Cette routine est activee lorsque I'unite materielle de controle d'acces 20 
genere une interruption non masquable de controle NMI1. 

La routine IRT1 decrite ici comporte une premiere etape E500 au cours de 
laquelle on memorise dans une variable VA le contenu d'une variable Code-AA 
comportant le code d'autorisation d'acces du meme nom. 

Dans le mode de realisation decrit en reference a la figure 4a i'etape E500 
de lecture du code d'autorisation d'acces Code-AA est suivie par une etape 
E510 au cours de laquelle on genere un nouveau code d'autorisation d'acces 
Code-AA selon la loi predeterminee decrite precedemment. Au cours de cette 
meme etape, on memorise cette nouvelle valeur du code d'autorisation d'acces 
Code-AA dans la memoire protegee. 
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L'etape E510 de generation et de memorisation du nouveaiu code 
d'autorisation d'acces Code-AA est suivie par une etape E520 d'envoi du 
contenu de la variable VA k I'unite materielle de controle d'acces 20. 

Dans le mode de realisation prefer^ decrit ici, cette etape d'envoi consiste 
5 a ecrire le contenu de la variable VA dans le registre 21 . 

Dans le mode de realisation decrit en reference a la figure 4b, l'etape 
E500 de lecture du code d'autorisation d'acces Code-AA est suivie par cette 
etape E520. 

Quoi qu'il en soit, l'etape E520 d'envoi du code d'autorisation d'acces est 
10 suivie par une instruction de type IRET connue de Thomme du metier, qui 
consiste d'une part a effacer la source de Pinterruption NMI1 et a revenir de 
ladite interruption. 

Le procede de gestion d'acc&s conforme a f'invention comporte, de fa§on 
optionnelle, une routine d'interruption d'alarme IRT2 en reponse a une 
15 interruption non masquable NMI2 en provenance de I'unite materielle de controle 
d'acces 20. 

Cette interruption non masquable d'alarme consiste essentiellement a 
generer une alerte et/ou a traiter I'acpes non autorise selon des regies 
adequates. 

20 La figure 6 represente les principals etapes E600 a E630 d'un 

programme informatique PROG comportant des instructions d'acces a un 
peripherique P securise conformement a I'invention, dans le mode de realisation 
de la figure 4a. 

Ce programme informatique comporte deux etapes E600 et E610 
25 identiques ou similaires respectivement aux etapes E500 de lecture du code 
d'autorisation d'acces, et E510 de generation et de memorisation d ? un code 
d'autorisation d'acces decrit precf§demment en reference a la figure 5. 

Ainsi, au cours de ces deux etapes, le programme informatique P 
memorise dans une variable VA le contenu du code de declenchement Code-DD 
30 courant, g6nfere selon la ioi predeterminee (loi d'incn§mentation) un nouveau de 
declenchement Code-DD, et memorise cette nouvelle valeur dans la m^moire 
s^curisee partagee avec la routine d'interruption IRT1. 
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Prealablement a chaque etape E630 d'accds au peripherique P, le 
programme informatique PROG comporte une etape E620 au cours de laquelle 
on envoie le contenu de la variable VA a I'unite de controle materiel d'accfes 20, 
ce qui revient, dans le mode de realisation decrit ici, a 6crire le contenu de cette 
variable dans le registre 21 . 

Cette etape E620 d'envoi du code d'autorisation d'acces VA k I'unite de 
controle materiel d'acces 20 est suivie par I'etape E630 d'acces au peripherique 
P. 

Dans une mise en ceuvre de Hnvention selon le mode de realisation de la 
figure 4b, le programme informatique PROG comporte une etape E610' de 
memorisation d'une valeur constante dans la memoire protegee du processeur, 
puis une etape E620' de declenchement de la premiere interruption de controle 
non masquable IRT1, prealablement a Tetape E630 d'acces au peripherique. 

Apres l'acces, une valeur quelconque differente de ladite constante est 
memorisee dans la memoire protegee du processeur. 

Cette etape peut egalement etre realises par la routine d'interruption de 
controle IRT1. 
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R EVEN D1C ATIONS 

1 - Unit6 materielle de controle d'acces (20) a un peripherique (P), 
caracterisee en ce qu'elle comporte : 

5 - des moyens (21) d'obtention d'un code d'autorisation d'acces (Code-AA) 

audit peripherique (P) ; 

- des moyens (22) de comparaison dudit code d'autorisation d'acces 
(Code-AA) avec une valeur de reference predeterminee (Code-UMCA) ; et 

- des moyens dits de validation (22, 23, 25) adaptds a generer un signal 
io eiectrique de validation (SIG_VAL) d'un signal eiectrique d'acces (CS, WE, 

PWR) audit peripherique (P) en fonction du resultat de ladite comparaison. 

2 - Unite materielle de controle d'acces selon la revendication 1, 
caracterise en ce quelle comporte des moyens (26) de declenchement d'une 
interruption non masquable d'alarme (NMI2), lorsque ledit code d'autorisation 

15 d'acces (Code-AA) est different de la valeur de reference predeterminee (Code- 
UMCA). 

3 — Unite materielle de controle d'acces selon la revendication 1 ou 2, 
caracterisee en ce que ladite valeur de reference predeterminee (Code-UMCA) 
est une constante. 

20 4 - Unite materielle de controle d'acces selon la revendication 1 ou 2, 

caracterisee en ce qu'elle comporte des moyens (24) de generation de ladite 
valeur de reference (Code-UMCA) selon une loi predeterminee. 

5 - Unite materielle de controle d'acces selon la revendication 4, 
caracterisee en ce que ladite valeur de reference predeterminee (Code-UMCA) 

25 est un compteur initialise & la mise sous tension de ladite unite materielle 
(UMCA), et en ce que ladite loi predeterminee consiste a incrementer ledit 
compteur a chaque obtention dudit code d'autorisation d'acces (Code-AA). 

6 - Unite materielle de controle d'acces selon Tune quelconque des 
revendications 1 a 5, caracterisee en ce qu'elle comporte : 

30 - des moyens (26) de. declenchement d'une interruption non masquable 

de controle (NMI1) et; 

- des moyens (21) d'obtention dudit code d'autorisation d'acces (Code- 
AA) consecutivement audit declenchement. 



Codv provided bv USPTO from the IFW Imaae Database on 03/22/2005 



23 

*~ ' By Express Mail 

NO.EV514454583US 

7 - Unite materielle de controle d'acces selon Tune quelconque des 
revendications 1 & 6, caracterisee en ce que lesdits moyens de validation (22, 
23, 25) comportent des moyens de combinaison logique (25) adaptes & : 

- recevoir un signal electrique de demande d'acces (CS-RQ, WE-RQ) 
5 audit peripherique (P) ; 

- recevoir ledit signal de validation (SIG_VAL) ; et 

- valider ledit signal §lectrique d'acces (CS, WE) en fonction d'un etat 
(RQ_O f RQ_1) dudit signal electrique de demande d'acces (CS-RQ, WE-RQ), 
d'un etat (VAL_0, VAL_1) dudit signal de validation, et d'une logique representee 

10 dans une table de verite (25). 

8 - Unit6 materielle de controle d'acces selon la revendication 7, 
caracterisee en ce qu'elle comporte des moyens (26) de lecture d'un etat (RQ_0, 
RQ_1) dudit signal electrique de demande d'acces (CS_RQ, WE_RQ), et des 
moyens (26) de d6clenchement d'une interruption non masquable d'alarme 

is (NMI2) en fonction de cet etat (RQ_0, RQ_1) et dudit etat (VALJ), VAL_1) dudit 
signal electrique de validation d'acces (SIG_VAL). 

9 - Unite materielle de controle d'acces selon Tune quelconque des 
revendications 1 a 8, caracterisee en ce qu'elle comporte des moyens d'inhibition 
(23) dudit signal de validation (SIGJVAL). 

20 10 — Unite materielle de controle d'alcces selon la revendication 9, 

caracterise en ce que lesdits moyens d'inhibition (23) sont adaptes a inhiber ledit 
signal de validation (SIGJVAL) consecutivement a au moins un acc&s audit 
peripherique (P). 

11 — Unite materielle de controle d'acces selon la revendication 9 ou 10, 
25 caracterisee en ce que lesdits moyens d'inhibition (23) sont adaptes a inhiber 

ledit signal de validation (SIG_VAL) apres un delai predetermine compte a partir 
de la generation dudit signal electrique de validation d'acces (SIGJVAL), ou a 
partir de I'obtention dudit code d'acces (Code-AA). 

12 Processeur (110) caracterise en ce qu'il comporte une unite 
30 materielle de controle d'acces (20) selon Tune quelconque des revendications 1 

a'11. 
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13 - Processeur selon !a revendication 12, caracterise en ce qu'il 
comporte en outre des moyens (IRT1) d'envoi dudit code d'autorisation d'acces 
(Code-AA) k ladite unite materielle de controle d'acces (20). 

14 — Processeur selon la revendication 13, caracterise en ce qu'il 
5 comporte en outre des moyens de lecture dudit code d'acces (Code-AA) a partir 

d'une memoire protegee en vue dudit envoi. 

15 - Processeur selon la revendication 13, caracterise en ce qu'il 
comporte en outre des moyens (VECT) de mise en ceuvre- d'une routine 
d'interruption de controle (IRT1) adaptee a generer ledit code d'acces (Code-AA) 

10 selon une loi predeterminee, en vue dudit envoi 

16 - Processeur selon la revendication 15, caracterise en ce que ledit 
code d'acces (Code-AA) est un compteur et en ce que ladite loi predeterminee 
consiste a initialiser ledit compteur (Code-AA) lors de la mise sous tension dudit 
processeur (110), et a incrementer ledit compteur a chaque envoi dudit code 

15 (Code-AA) a ladite unite materielle (20). 

17 - Processeur selon rune quelconque des revendications 12 a 16, 
caracterise en ce qu'il comporte en outre des moyens (VECT) de mise en ceuvre 
d'une routine d'interruption d'aiarme (IRT2) adaptee a generer une alerte et/ou a 
inhiber ('utilisation dudit peripherique (P). 

20 18 — Processeur selon Tune quelconque des revendications 12 a 17, 

caracterise en ce qu'il comporte ledit peripherique (P), celui-ci pouvant 
notamment etre choisi parmi un controleur d'ecriture dans une memoire 
d'amorpage (120) dudit processeur, une unite de gestion de memoire (MMU). 

19 - Precede de controle d'acces a un peripherique (P), caracterise en ce 

25 qu'il comporte les etapes suivantes : 

- obtention (E37) d'un code d'autorisation d'acces (Code-AA) audit 
peripherique (P) ; 

- comparaison (E38) dudit code d'autorisation d'acces (Code-AA) avec 
une valeur de reference predeterminee (Code-UMCA) ; 

30 - generation (E50) d'un signal electrique de validation (SIG_VAL) (fun 

signal d'acces (CS, WE, PWR) audit peripherique (P) en fonction du resultat de 
ladite etape de comparaison (E30). 
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20 - Procede de controls d'acces selon ia revendlcation 19 caracterise en 
ce qu'elle comporte une etape (El 00), de declenchement d'une interruption non 
masquable d'alarme (NMI2) lorsque iedit code d'autorisation d'acces (Code-AA) 
est different de la vaieur de reference predetermine (Code UMCA). 
5 21 - Procede de controle d'acces selon la revindication 19 ou 20, 

caracterisee en ce que ladite vaieur de reference predeterminee (Code-UMCA) 
est une constante. 

22 - Procede de controle d'acces selon fa revendication 19 ou 20 
caracterise en ce qu'il comporte en outre une etape (E40) de generation de 

10 ladite vaieur de reference (Code-UMCA) selon une loi predeterminee- 

23 - Procede de controle d'acces selon la revendication 22, caracterise en 
ce que ladite vaieur de reference predeterminee (Code-UMCA) etant un 
compteur, il comporte en outre une etape de d'initialisation (E10) dudit compteur, 
et en ce que ladite etape (E40) de generation, consiste a incrementer Iedit 

15 compteur (Code-UMCA) a chaque obtention dudit code d'autorisation d'acces 
(Code-AA). 

24 - Procede de controle d'acces selon Tune quelconque des 
revendications 19 k 23, caracterise en ce qu'il comporte en outre : 

- une etape (E34) de declenchement d'une interruption non masquable de 
20 controle (NMI1) ; et 

- une etape (E37) d'obtention dudit code d'acces (Code-AA) 
consecutivement audit declenchement. 

25 - Procede de controle d'acces selon la revendication 24, caracterise 
en ce que ladite etape de declenchement (E34) est effectuee consecutivement a 

25 une etape d'obtention (E25) d'un code de declenchement (Code-DD). 

26 - Procede de controle d'acces selon Tune quelconque des 
revendications 1 9 a 25, caracterise en ce que, au cours de ladite etape (E50) de 
generation du signal de validation : 

- on lit I'etat (RQ__0, RQ_1) d'un signal electrique (CS-RQ, WE-RQ) de 
30 demande d'acces audit peripherique (P) ; 

- on lit I'etat (VAL_0 f VAL__1) dudit signal de validation (SIG_VAL) ; et 

- on valide Iedit signal electrique d'acces (CS, WE) en fonction dudit etat 
(RQ_1) dudit signal electrique de demande d'acces (CS_RQ, WE_RQ), dudit 
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etat (VAL_1) du signal de validation (SIG_VAL), et en fonction d'une regie 
logique. 

27 - Procede de controle d'acces selon la revendication 26, caracterise en 
ce quMi comporte une etape (E20, E36) de lecture d'un 6tat (RQ_J), RQ_1) dudit 
signal electrique de demande d'acces (CS_RQ, WE_RQ), et une etape (E100) 
de declenchement d'une interruption non masquable d'alarrne (NMI2) en 
fonction dudit etat (RQ_0, RQ_1) et dudit etat (VALJ), VAL_1) dudit signal 
electrique de validation d'acces (SIG_VAL). 

28 - Procede de controle d'acces selon Tune quelconque des 
revendications 19 a 27, caracterise en ce qu'il comporte une etape (E70) 
d'inhibition dudit signal de validation (SIG_VAL). 

29 - Procede de controle d'acces selon la revendication 28, caracterise 
en ce que ladite etape (E70) d'inhibition est effectuee consecutivement a au 
moins une etape d'acces (E65) audit peripherique (P). 

30 - Procede de controle d'acces selon !a revendication 28 ou 29, 
caracterise en ce que ladite etape dinhibition est effectuee apres un d4lai 
predetermine compte a partir de ladite etape (E50) de generation du signal de 
validation (SIG_VAL) ou a partir de I'etape (E25) d'obtention dudit code de 
declenchement (Code-DD). 

31 - Procede de gestion d'acces a un peripherique (P), caracterise en ce 
qu'il comporte une etape de mise en oeuvre d'une routine (IRT1) associee a une 
interruption non masquable de controle (NMI1), ladite routine de controle 
comportant une etape (E520) d'envoi d'un code d'autorisation d'acces (Code- 
AA) a une unite materielle de controle d'acces (20) conforme a I'une quelconque 
des revendications 1 a 1 1 . 

32 — Procede de gestion d'acces a un peripherique (P) selon la 
revendication 31, caracteris6 en ce qu'il comporte une etape de lecture dudit 
code d'accfes (Code-AA) a partir d'une memoire protegee en vue dudit envoi. 

33 Procede de gestion d'acces a un peripherique (P) selon la 
revendication 31, caract<§rise§ en ce qu'il comporte une §tape (E510) de 
generation, selon. une !oi predeterminee, d'un code d'autorisation d'acces (Code- 
AA) audit peripherique (P), en vue dudit envoi. 
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34 - Precede de gestion d'acces selon la revendication 33, caracterise en 
ce que ledit code d'autorisation d'acces (Code-AA) etant un compteur, il 
comporte en outre une etape d' initialisation dudit compteur (Code-AA), et en ce 
que ladite etape (E51 0) de generation consiste a incrementer ledit compteur 
(Code-AA) prealablement a chaque envoi (S100) dudit code d'autorisation 
d'acces (Code-AA) a ladite unite materielle (20). 

35 - Procede de gestion d'acces selon I'une quelconque des 
revendications 31 a 34, caracterise en ce qu'il comporte en outre une etape de 
mise en oeuvre d'une routine d'interruption non masquable d'alarme (IRT2), 
ladite routine d'alarme comportant une etape de generation d'une alerte et/ou 
d'inhibition de I'utilisation dudit peripherique. 

36 - Programme informatique comportant une instruction (E630) d'acces a 
un peripherique (P), caracterise en ce qu'il comporte une instruction (E620) 
d'envoi d'un code de declenchement (Code-DD) a une unite materielle de 
controle d'acces (20) dudit peripherique (P) conforme a I'une quelconque des 
revendications 1 a 1 1 , prealablement a ['execution de ladite instruction d'acces. 

37 - Programme informatique selon la revendication 36, caracterise en ce 
qu'il comporte en outre des moyens de generation dudit code de declenchement 
(Code-DD) selon ladite loi predetermines. 

38 - Processeur adapte a mettre en oeuvre un procede de controle 
d'acces conforme a I'une quelconque des revendications 19 a 30 et/ou un 
procede de gestion d'acces conforme a I'une quelconque des revendications 31 
a 35 et/ou un programme informatique conforme a la revendication 36 ou 37. 

39 - Utilisation d'une unite materielle de controle d'acces (20) selon I'une 
quelconque des revendications 1 a 11, pour valider un signal d'acces a un 
peripherique (P) pouvant notamment etre choisi parmi un ecran, un clavier, une 
memoire, un controleur d'une interface de communication, une unite de gestion 
memoire (MMU,) ou une unite de protection de memoire (MPU). 
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Procede et dispositif de securisation de 1'acces a un peripherique. 



ABREGE DESCR1PTIF 



Ce procede et ce dispositif (110) de controle d'acces a un peripherique 
permettent la protection de plate-forme eiectroniques notamment contre les 
attaques materielles. 



Figure 1 . 
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